.
96 Majalah Ilmiah Teknologi Elektro, Vol. 19, No. 1, Januari - Juni 2020
clustering berupa jumlah data dan pusat setiap cluster akan Metode evaluasi ini memiliki kelemahan dengan adanya
digunakan untuk perhitungan nilai risiko sehingga didapatkan perubahan yang monoton terhadap beragam jumlah cluster.
persentase jumlah serangan dengan kategori low, medium, Kelemahan tersebut dapat diatasi dengan Modified Partition
high, dan critical risk. Penelitian ini diharapkan dapat Coefficient atau MPC yang dapat dihitung dengan (7) [9].
membantu administrator dalam menganalisis kerentanan ( )= − ( − ( )) (7)
sistem keamanan jaringan di Institusi X. Sama halnya dengan PCI, nilai MPC memiliki rentang 0-1
II. METODE PENELITIAN
di mana jumlah cluster (nilai c) terbesar menunjukkan nilai
yang paling optimal. Nilai yang mendekati 0 menunjukkan
A. Fuzzy C-Means keakuratan cluster yang semakin kabur, sedangkan nilai
Fuzzy C-Means (FCM) merupakan algoritma clustering mendekati 1 menunjukkan semakin baik cluster tersebut.
dengan logika fuzzy yang keberadaan setiap data ditentukan
III. METODOLOGI
berdasarkan derajat keanggotaannya. Algoritma FCM
diperkenalkan pada 1981 oleh Jim Bezdek. Clustering dengan Tahap pertama pada penelitian ini adalah mengumpulkan
FCM berbeda dengan teknik klasik, seperti K-Means, di mana data dengan memasang IDS Snort pada jaringan Institusi X
setiap data dapat menjadi anggota dari beberapa cluster [7]. selama kurang lebih 1 bulan hingga mendapatkan jumlah data
Langkah-langkah penyelesaian dengan Algoritma FCM yang cukup. Data dari log tersebut kemudian dikonversi ke
dapat diuraikan sebagai berikut. format csv untuk lebih mudah untuk diproses di tahap analisis.
1. Masukkan data dengan matriks X berukuran n x m (n = Gambar 1: menunjukkan diagram alir untuk tahap analisis
jumlah data, m = jumlah atribut). pada penelitian ini. Secara garis besar, tahap yang dilakukan
2. Tentukan jumlah cluster (c), pangkat (w), maksimum adalah pengumpulan dan pencatatan data pada log,
perulangan (max_iter), error terkecil (ξ), fungsi objektif preprocessing, pengelompokkan dengan FCM, dan evaluasi.
awal (P0), dan perulangan awal.
3. Bilangan random µik dibangkitkan sebagai elemen matriks
partisi awal. Jumlah setiap kolom kemudian dihitung
dengan (1) dan (2).
= ∑ μ (1)
μ = (2)
4. Pusat cluster ke-k: Vkj dihitung dengan (3).
∑ ( ∗ )
= ∑
(3)
ISSN 1693 – 2951 I.A. Shinta Dewi P.: Analisis Data Log IDS …
Majalah Ilmiah Teknologi Elektro, Vol. 19, No. 1, Januari - Juni 2020
DOI: https://doi.org/10.24843/MITE.2020.v19i01.P14 97
Parameter Deskripsi
dengan rentang tingkat keparahan masing-masing. Implementasi FCM dan visualisasi jenis serangan pada
Penelitian ini menggunakan rentang 1-4, semakin besar penelitian ini menggunakan Python 3. Evaluasi dilakukan
nilainya maka priority semakin tinggi. dengan perhitungan Modified Partition Coefficient (MPC)
Port type Port terdiri dari 3 tipe, yaitu well-known, registered, untuk menentukan validitas hasil clustering.
dan dynamic [11]. Rentang tipe port well-known (0-
1023) diberi nilai 3, registered (1024-49151) diberi IV. HASIL DAN PEMBAHASAN
nilai 2, dan dynamic (49152-65535) dengan nilai 1.
Penelitian ini menambahkan 1 tipe dengan nilai 4 Jumlah data pada penelitian ini adalah 346509 data dengan
untuk port yang paling sering diserang hacker [12]. 27 atribut sesuai dengan aturan Snort secara default. Potongan
Likelihood Nilai likelihood dapat diberikan berdasarkan frekuensi dataset tersebut dapat dilihat pada Tabel 3. Data yang telah
munculnya suatu alert [13]. Parameter ini memiliki dikumpulkan perlu untuk melalui tahap preprocessing untuk
rentang 1-5, di mana nilai 1 merupakan nilai untuk menambahkan beberapa atribut sesuai dengan parameter
alert dengan frekuensi rendah dan nilai 5 untuk penilaian risiko yang telah ditentukan.
frekuensi tinggi. Penentuan skala frekuensi
menggunakan panduan penilaian risiko dari NIST [14]. A. Preprocessing
Tahap preprocessing diawali dengan menambahkan
Parameter pada Tabel 1 akan digunakan untuk memberi classtype atau klasifikasi jenis serangan untuk setiap data
label untuk setiap cluster dari algoritma FCM. Persamaan (12) menggunakan rules Snort yang telah di-parsing. Penambahan
digunakan untuk menghitung nilai risiko (RA) setiap cluster atribut classtype ini dilakukan untuk menentukan nilai priority
sebagai penentu label [15]. dengan rentang nilai 1-4. Priority untuk setiap classtype dapat
Priority (P) = [1-4] dilihat pada Snort Manual [16].
Port Type (D) = [1-4] Atribut lain yang ditambahkan pada tahap ini adalah port
Likelihood (L) = [1-5] type atau tipe port sesuai dengan deskripsi pada Tabel 1.
Max RA = 10 Penambahan nilai likelihood untuk setiap data didasarkan
∗ ∗
= (8) pada frekuensi setiap alert atau alert rate, di mana semakin
Nilai risiko (RA) memiliki rentang dengan nilai maksimal tinggi frekuensinya maka nilai risikonya juga semakin tinggi.
10 sehingga untuk mencari nilai X dengan mengacu pada (9).
( ) ∗ ( )∗ ( ) B. Clustering Fuzzy C-Means
= =10 (9)
Data yang telah melalui tahap preprocessing kemudian
∗ ∗
10 = (10) dikelompokkan dengan FCM untuk mendapatkan hasil cluster
X=8 (11) dan pusat cluster. Hasil pusat cluster tersebut yang akan
=
∗ ∗
(12) digunakan untuk perhitungan nilai risiko.
Langkah awal implementasi FCM adalah penentuan jumlah
Hasil perhitungan RA untuk setiap cluster tersebut cluster yang dilakukan dengan rumus MPC untuk
kemudian diberi label low, medium, high, dan critical sesuai mendapatkan jumlah cluster terbaik. Penentuan jumlah cluster
dengan ketentuan pada Tabel 2. dilakukan dengan rentang 2-6, di mana akan dipilih jumlah
TABEL II cluster dengan nilai MPC yang paling mendekati 1.
KATEGORI N ILAI R ISIKO Gambar 2: menunjukkan bahwa jumlah cluster atau c=6
Range Label memiliki nilai MPC yang paling mendekati 1, sehingga
0-3.9 Low clustering pada penelitian ini dilakukan dengan 6 cluster.
4.0-6.9 Medium Maksimum iterasi yang digunakan adalah 300 dan error
7.0-8.9 High terkecil yang diharapkan adalah 0,00001.
9.0-10.0 Critical
TABEL III
POTONGAN D ATASET
timestamp sig_gen sig_id sig_rev msg proto src srcport dst dstport
11/27- ET DROP Dshield Block Listed
1 2402000 5371 TCP 89.248.168.69 41373 114.5.36.70 6777
12:47:01 Source group 1
11/27- ET CINS Active Threat Intelligence
1 2403368 53375 TCP 45.5.37.140 38156 114.5.36.70 9001
12:48:11 Poor Reputation IP TCP group 35
11/27- ET CINS Active Threat Intelligence
1 2403450 53375 TCP 80.82.70.239 52621 114.5.36.70 3677
12:48:23 Poor Reputation IP TCP group 76
11/27- ET DROP Dshield Block Listed
1 2402000 5371 TCP 80.82.70.239 52621 114.5.36.70 3677
12:48:23 Source group 1
⋮ ⋮ ⋮ ⋮ ⋮ ⋮ ⋮ ⋮ ⋮ ⋮
01/06- ET SCAN Suspicious inbound to
1 2010935 3 TCP 114.5.230.77 56242 114.5.36.70 1433
12:12:24 MSSQL port 1433
I.A. Shinta Dewi P.: Analisis Data Log IDS … p-ISSN:1693 – 2951; e-ISSN: 2503-2372
.
98 Majalah Ilmiah Teknologi Elektro, Vol. 19, No. 1, Januari - Juni 2020
.
100 Majalah Ilmiah Teknologi Elektro, Vol. 19, No. 1, Januari - Juni 2020
ISSN 1693 – 2951 I.A. Shinta Dewi P.: Analisis Data Log IDS …